按特定组审核sysadmin成员

Question

Server 2012数据库审核在指定主体DBO时对sysadmins执行审计。但是，这会导致对所有系统管理员进行审计。什么配置或解决方案可以用于仅审计一个具有sysadmin成员资格的特定组，而不对所有sysadmins的所有活动进行审计？我们试图减少不必要的操作事件(即sql引擎服务帐户或其他属于sysadmin且不需要审计的服务帐户)。这是一个用户数据库。

Answer 1

一种选择可能是将单个系统管理员作为用户添加到有关数据库中，将这些用户添加到没有显式权限的自定义角色中(实际上类似于public)，并设置数据库审计规范以跟踪自定义角色的操作。

Answer 2

https://blogs.msdn.microsoft.com/sqlsecurity/2012/10/03/filter-sql-server-audit-on-action_id级_类型-谓词/

在Server 2012中，可以使用谓词表达式(请参阅MSDN)创建服务器审核。此谓词表达式在将审计事件写入审核目标之前进行计算。如果评估返回TRUE，则事件将写入审计目标，否则不会。因此，我们可以根据谓词表达式过滤到审计目标的审计记录。